페더레이션 사용자가 Office 365, Azure 또는 Intune에 로그인 하는 경우 "80041317" 또는 "80043431" 오류 발생

참고

Office 365 ProPlus엔터프라이즈용 Microsoft 365 앱으로 이름이 바뀌고 있습니다. 이 변경에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

문제

페더레이션 사용자가 URL이 ","로 시작 하는 로그인 웹 페이지에서 Office 365, Microsoft Azure 또는 Microsoft Intune과 같은 Microsoft 클라우드 서비스에 로그인 하려고 하면 https://login.microsoftonline.com/login 해당 사용자에 대 한 인증이 실패 합니다. 또한 사용자에 게 다음과 같은 오류 메시지가 나타납니다.

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431 

원인

이 문제는 온-프레미스 AD FS (Active Directory Federation Services) 서비스 및 Azure Active Directory (Azure AD) 인증 시스템의 페더레이션 도메인에 대 한 구성 설정이 일치 하지 않는 경우에 발생 합니다. 이렇게 하면 AD FS 서비스에서 제공 하는 클레임이 잘못 되어 Azure AD 인증 시스템에서 거부 됩니다. 

참고

페더레이션 트러스트 데이터를 업데이트 하지 않고 온-프레미스에서 토큰 서명 인증서를 갱신 한 후에 이러한 상황이 발생할 수 있습니다.

발생 한 문제의 원인이이 인지 확인 하려면 도메인에 가입 된 컴퓨터에서 다음 단계를 수행 합니다.

  1. AD FS 서비스와 Microsoft 클라우드 서비스 간의 일치 하지 않는 특성을 확인 합니다. 이렇게 하려면 다음과 같이 하십시오.
    1. 시작, 모든 프로그램, microsoft azure active directory를 차례로 클릭 한 다음 Windows PowerShell 용 microsoft azure active directory 모듈을 클릭 합니다.

    2. 명령 프롬프트에서 다음 명령을 입력 합니다. 각 명령을 입력 한 후 enter 키를 누릅니다.

      $cred = get-credential
      

      참고

      메시지가 표시 되 면 클라우드 서비스 관리자 자격 증명을 입력 합니다.

      Connect-MSOLService –credential:$cred
      
      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>
      

      참고

      이 명령에서 개체 틀 <AD FS 2.0 서버 이름>는 기본 AD FS 서버의 Windows 호스트 이름을 나타냅니다.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>
      

      참고

      이 명령에서 <Federated Domain Name> 자리 표시자는 sso (single sign-on)에 대해 클라우드 서비스와 이미 페더레이션 된 도메인의 이름을 나타냅니다.

      참고

      명령 출력은 다음 두 섹션으로 구분 됩니다.

      • 첫 번째 섹션의 첫 번째 줄은 "Source: AD FS Server"를 읽고 로컬 AD FS 서비스에 저장 된 구성을 나타냅니다.
      • 두 번째 섹션의 첫 번째 줄은 "Source: <Microsoft cloud service> "를 읽고 id 서비스에 저장 된 구성을 나타냅니다.

      다음과 같은 출력이 나타납니다.

      출력 결과 스크린샷

  2. 두 섹션에 있는 각 특성 값을 비교 하 여 해당 값이 일치 하는지 여부를 확인 합니다. 값이 일치 하지 않으면 페더레이션 도메인 구성을 업데이트 해야 합니다.

해결 방법

이 문제를 해결하려면 다음 방법 중 하나를 사용합니다.

방법 1: 페더레이션 도메인의 구성 업데이트

이 작업을 수행 하는 방법에 대 한 자세한 내용은 office 365, Azure 또는 Intune에서 페더레이션 도메인의 설정을 업데이트 하거나 복구하는 방법에서 "office 365 페더레이션 도메인의 구성을 업데이트 하는 방법" 섹션을 참조 하십시오.

방법 2: 페더레이션 도메인의 구성 복구

방법 1이 문제를 해결 하지 못하면 페더레이션 트러스트를 복구 해 보십시오. 이 작업을 수행 하는 방법에 대 한 자세한 내용은 office 365 페더레이션 도메인의 구성을 업데이트 하거나 복구 하는 방법에서 "office 365 페더레이션 도메인의 구성을 복구 하는 방법" 섹션을 참조 하십시오.

방법 3: Windows PowerShell 용 Azure Active Directory 모듈을 사용 하 여 특성을 수동으로 업데이트

방법 1과 2에서 문제가 해결 되지 않으면 일치 하지 않는 특성을 수동으로 업데이트 해 봅니다. 문제를 진단 하는 데 사용한 Windows PowerShell 연결에서 다음 표에 나와 있는 적절 한 cmdlet을 실행 합니다.

일치 하지 않는 특성 오류 코드 특성을 업데이트 하기 위한 명령 Notes
FederationServiceIdentifier 80043431 MSOLDomainFederationSettings-도메인 이름 <도메인 접미사>-issueruri <newURI> 도메인 접미사 <자리 표시자> 페더레이션 도메인 이름을 나타냅니다. Newuri uri <개체 틀은 온-프레미스 FEDERATIONSERVICEIDENTIFIERATTRIBUTE의 URI 값 (MsolFederationProperty cmdlet의 출력에 먼저 나열 됨)을 나타냅니다.

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Azure Active Directory 포럼 웹 사이트를 방문해 보세요.